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Verf ahren und Vorrichtung zur Erstellung prufbar 
falschungssicherer Dokumente 

Beschreibxing : 

Die Erfindiing betrifft ein Verf ahren zur Erstellung fal- 
schungssicherer Dokumente oder Datensatze, wobei eine Schlus- 
sel information erzeugt und eine verschlusselte Pruf informa- 
tion aus der Schlusselinf ormation und einem Transaktions-In- 
dikator gebildet wird. 

Die Erfindung betrifft ferner ein Wertubertragungszentrum und 
ein kryptograf isches Modul. 

Es ist eine Vielzahl von Verf ahren zur Erzeugung f alschxings- • 
sicherer Dokumente und zu ihrer XJberpriif ung bekannt. Ubliche 
Verfahren basieren auf der Erstellung digitaler Signaturen 
Oder verschlusselter Pruf inf ormationen, die im Rahmen der Er- 
stellung des Dokuments angefertigt werden. 

Zu unterscheiden ist dabei zwischen Dokumenten,. bei denen der 
Ersteller ein Interesse an der Unverf alschtheit hat und sol- 
chen, bei denen Dritte ein Interesse an der Unverf alschtheit 
haben . 

Hat ein Dritter Interesse an der Falschungssicherheit von Do- 
kumenten, so ist es bekannt, dass bei der Erstellung des Do- 
kuments ein sogenanntes „ kryptograf isches Modul hinzugezogen 
wird. Solche bekannten kryptograf is chen Module zeichnen sich 
dadurch aus, dass sie in ihrem Inneren elektronische Daten 
beinhalten oder Dateh verarbeiten, die von aulSen nicht unbe- 
merkt eingesehen oder manipuliert werden konnen. 
Ein kryptograf isches Modul kann als sichere, versiegelte Ein- 
heit betrachtet werden, in der sicherheitsrelevante Prozesse 
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durchgefuhrt werden, die von aiilSen nicht manipuliert werden 
korxnen. Ein weltweit anerkannter Standard fur solche kryp- 
tografischen Module ist der von der US-amerikanischen natio- 
nalen Behorde fur Standardisierung NIST verof f entlichte Stan- 
dard fur kryptograf ische Module mit der Bezeichniang FIPS P\ib 
140. 

Wird zur Erstellung f alschungssicherer Dokumente, an deren . 
Unverfalschtheit Dritte interessiert sind, ein kryptograf i- 
sches Modul eingesetzt, so besteht eine libliche Realisierung 
darin, dass das kryptograf ische Modul genutzt wird, um kryp- 
tograf ische Schlussel sicher zu hinterlegen, die innerhalb 
des Moduls, und nur dort, zur Verschlusselung von Prufwerten 
dienen. Bekannt sind beispielsweise sogenannte Signaturkar- 
ten, wie sie von Zertif izierungsbehorden oder Trustcentern 
zur Erstellung von digitalen Signaturen ausgegeben werden. 
Auch diese Signaturkarten, ausgefuhrt als Mikroprozessor- 
Chipkarte, enthalten in eben diesem Microporzessor-Chip ein 
kryptograf isches Modul. 

In solchen Modulen sind in der Regel ein oder mehrere asym- 
metrische Schlusselpaare hinterlegt, die sich dadurch aus- 
zeichnen, dass Verschlusselungen, die mit dem . sogenannten 
privaten Schlussel erzeugt werden, nur mit dem zugehorigen 
offentlichen Schlussel ruckgangig gemacht werden konnen und 
dass Verschlusselungen, die mit dem offentlichen Schlussel 
erzeugt werden, nur mit dem zugehorigen privaten Schlussel 
ruckgangig gemacht werden konnen. Gemafi ihrer Bezeichnung 
sind of fentliche Schlussel dabei zur Verof fentlichung und be- 
liebigen Verbreitung vorgesehen, wogegen private Schlussel 
nicht ausgegeben werden diirfen und bei einer Verwendung zu- 
sammen mit kryptograf ischen Modulen diese Module zu keinem 
Zeitpunkt verlassen diirfen. Weiterhin hinterlegt in solchen 
Modulen sind Algorithmen etwa zur Pruf summenbildung oder/ im 
Beispiel der digitalen Signatur, zur Erstellung eines soge- 
nannten digitalen Fingerabdrucks oder Hash- Wert s'\ der sich 
dadurch auszeichnet, dass er beliebigen Dateninhalt auf eine 
in der Regel quantitativ deutlich verkurzte Information der- 
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art abbildet, dass das Resultat ' irreversibel vmd eindeutig 
ist xmd dass fur verschiedene Dateninhalte, mit denen der Al- 
gorithmus gespeist wird, jeweils iinterschiedliche Resultate 
entsteheh . 

Die Erstellung eines f alschimgssicheren Dokuments, an dessen 
Unverf alschtheit Dritte interessiert sind, mittels eines 
kryptograf ischen Moduls, das asymmetrische Schlussel und 
einen Algorithmus zur Erstellung von Prufwerten enthalt, ge- 
schieht liblicherweise wie f olgt : Zunachst wird unter Anwen- 
dung des Algorithmus zur Erstellung von Prufwerten ein sol- 
cher Prufwert erstellt, der sich auf das zu sichernde Doku- 
ment bezieht . Dann wird ein privater Schlussel im kryptogra- 
f ischen Modul benutzt, um den Prufwert zu verschliisseln. Die 
Kombination dieser' beiden Vorgange .wird als Erstellung einer 
„digitalen Signatur'^ bezeichnet. 

Die Priifung einer solchen digitalen Signatur geschieht libli- 
cherweise wie f olgt : Der Empf ai;ger erhalt das Dokument und 
den verschlusselten Prufwert . Der Empf anger benotigt weiter- 
hin, Tond darauf zielt die spater geschilderte Erfindung ab, 
den of fent lichen Schlussel des Dokumentherstellers und ver- 
wendet diesen zur Entschliisselung des Prufwerts, den der Do- 
kument hers teller mit seinem privaten Schlussel innerhalb des 
kryptograf ischen Moduls verschlusselt hatte . Nach der Ent- 
schlusselung besitzt der Empf anger somit den unverschlussel- 
ten Prufwert. Weiterhin wendet der Empf anger im nachsten 
Schritt den gleichen Algorithmus zur Erstellung eines Pruf- 
werts auf das empfangene Dokument an. Im dritten Schritt 
schliefilich vergleicht der Empf anger den selbst erzeugten 
Prufwert mit dem entschlusselten P3rufwert des Dokumenther- 
stellers. Stimmen beide Prufwerte liberein, so wurde das Doku 
ment nicht verfalscht und die Unverf alschtheit des Dokuments 
ist zweifelsfrei nachgewiesen. Ublicherweise wird bei bekann 
ten digitalen Signaturen auch die Authentizitat des Dokument 
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hersteilers- gepruft. Dies geschieht, indem der offentliche 
Schlussel des Dokumentherstellers von einer sogenannten Zer- 
tifizieningsstelle oder „CA« ebenfalls digital signiert und 
einem bestiramten kryptograf ischen Modul, beziehungsweise 
einem bestitntnten Inhaber des kryptograf ischen Moduls, zuge- 
ordnet wird. Der Empf anger des Dokuments nirnmt in diesem Fall 
den offentlichen Schlussel des Dokumentherstellers nicht ein- 
fach als gegeben an, sondern uberpruft diesen ebenfalls auf 
Zugehorigkeit zum Dokumenthers teller, indem er die digitale 
Signatur des offentlichen Schlussels in der oben geschilder- 
ten Weise uberpruft. 

Bei diesen bekannten Verfahren besteht das Problem, dass zur 
' Priif ung der Unverf alschtheit eines Dokuments eine Information 
erforderlich ist, die unmittelbar mit der Verwendung von 
Schlusseln durch den Dokumenthers teller mittels des kryp- 
tograf ischen Moduls zusammenhangt . Im oben angefiihrten ubli- 
chen Beispiel der Erstellung von digitalen Signaturen handelt 
as sich um den offentlichen Schlussel des Dokumentherstellers 
bzw. dessen kryptograf ischen Moduls, der zur Prufung herange- 
zogen warden muss. Im Falle der Signatur des offentlichen 
Schlussels durch eina Zertif izierungsstelle wird das Gesamt- 
gebilde aus offentlichem Schlussel, Identif ikation des Anwen- 
ders dieses Schlussels sowie der digitalen Signatur der Zer- 
tif izierungsstelle als „Schlusselzertif ikaf bezeichnet. 

Zusammengef asst lasst sich diese Problematik an einem Bei- 
spiel derart schildern, dass es zur Prufung der Unverf alscht- 
heit eines ublichen digital signiert en Dokuments erforderlich 
ist, den offentlichen Schlussel oder das Schlusselzertif ikat 
des Dokumentherstellers bzw. seines kryptograf ischen Moduls 
bei der Pirufxing zur Verfugung zu haben. Sollen an einer Piruf- 
stelle, wie ublich, Dokumente verschiedener Dokumenthers tel- 
ler gepruft werden, so ist es erforderlich, dort alle offent- 
lichen Schlussel Oder alle Schlusselzertif ikate aller Doku- 
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menthersteller zur Verfugung zu haben. 

Es existieren verschiedene Moglichkeiten, der Anforderung ge- 
recht zu warden, den of fentlichen Schlussel des Dokutnenther- 
stellers bei der Prufung zur Verfugung zu haben. So ist es 
moglich, den offentlichen Schlussel oder das Schlusselzerti- 
f ikat des Dokumentherstellers an das zu sichemde Dokument 
anzuhangen. Eine weitere Moglichkeit besteht darin, den of- 
fentlichen Schlussel an der Prufstelle zu hinterlegen und bei 
Bedarf auf diesen zuzugreifen. 

Die bekannten Verfahren sind jedoch mit Nachteilen verbunden. 

Das Anhangen des Schlussels oder des Schlussel zert if ikat s ist 
dann .nachteilig, wennder Umfang des Dokument s moglichstge - 
ring gehalten werden muss \ind ein angehangter Schlussel den 
zu druckenden, zu ubertragenden oder zu verarbeitenden Daten- 
satz ubermafiig vergrofiem wiirde. 

Eine Hinterlegung eihes ' of fentlichen Schlussels an der Pruf- 
stelle ist insbesondere dann nachteilig, wenn ein Zugriff auf 
an der Prufstelle hinterlegte Schlussel aus praktischeri oder 
zeitlichen Erwagungen nicht moglich ist, beispielsweise bei 
einer sehr hohen Anzahl von vorgehaltenen Schlusseln, auf die 
in sehr kurzer Zeit zugegriffen werden musste. 

Zur Losung dieser bekannten Nachteile ist es aus der 
Deutschen Patentschrif t DE 100 20 563 C2 der Anmelderin be- 
kannt, bei einem gattungsgemaSen Verfahren in einem Siche- 
rungsmodul ein Geheimnis zu erzeugen, das Geheimnis zusammen 
mit Informationen, die Auskunft liber die tdentitat des Siche- 
rungsmoduls geben, verschlusselt an eine Bescheinigungsstelle 
zu ubergeben, das Geheimnis in der Bescheinigungsstelle zu 
entschlusseln, hierdurch die Identitat des Sicherungsmoduls 
zu erkennen, anschlieSend das Geheimnis zusammen mit Informa- 
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tionen zur Identitat des Dokumentherstellers derart zu ver- 
schlusseln, dass nur eine Prufstelle eine Entschlusselxmg 
vornehmen kaim, um dann das Geheitnnis an einen Dokumenther- 
steller zu libermitteln. Bei diesem Verfahren gibt der Doku- 
tnenthersteller eigene Daten in das Sicherimgsmodul ein, wobei 
das Sicherungsmodul die selbst von dem Dokumenthersteller 
eingebrachten Daten mit dem Geheitnnis irreversibel verkniipft 
und wobei keine Riickschlusse auf das Geheitnnis tndglich sind. 
Dieses bekannte Verfahren zeichnet sich dadurch aus, dass das 
Ergebnis der irreversiblen Verknupfimg der von dem Dokument- 
hersteller eingebrachten Daten mit dem Geheimnis, die von dem 
Dokumenthersteller selbst eingebrachten Daten sowie die ver- 
schl^sselten Inforraationen der Bescheinigungsstelle das Doku- 
ment bilden, das an die Prufungsstelle Obermittelt wird. Die- 
ses bekannte Verfahren eignet sich insbesondere zur Erzeugung 
und Priifung f alschungssicherer Briefmarken eines Post\inter- 
nehmens. Solche Briefmarken werden durch Kunden eines Postun- 
ternehmens unter Verwend\ing eines personlichen kxyptografi- 
schen Moduls erzeugt und als maschinenlesbarer Barcode auf 
die Sendung auf gebracht . Der maschinenlesbare Barcode hat nur 
einen sehr begrenzten Datenumfang und erlaubt es somit nicht, 
den offentlichen Schlussel des Kunden mit einzxibringen. 
AuSerdem mussen in der sogenannten Briefproduktion die digi- 
talen Briefmarken in kurzester Zeit gelesen wad gepriift wer- 
den, wodurch die Moglichkeit, in Sekundenbruchteilen auf eine 
Datenbasis von moglicherweise vielen Millionen offentlicher 
Schlussel zuzugreifen, ebenfalls entfallt. 

Der Erfindvmg liegt die Auf gabs zugrunde, ein bekanntes Ver- 
fahren so weiter zu entwickeln, dass es unabhangig von einer 
iinmittelbaren Kommunikation zwischen der kryptograf isch ver- 
trauenswurdigen Kontaktstelle und dem Dokumenthersteller 
durchgefuhrt werden kann. 
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ErfindungsgemaS wird diese Aufgabe dadurch gelost, dass die 
Erstellung der zufalligen Schlussel information und die Bil- 
dung der verschlusselten Pruf information aus der Schlusselin- 
formation imd dem Transaktionsindikator in einer kryptogra- 
fisch vertrauenswurdigen Kontaktstelle erfolgen, dass die 
kryptografisch vertrauenswurdige Kontaktstelle die Schlussel - 
information ver schlussel t, und dass die verschlusselte Pruf- 
information \and die verschlusselte Schlussel information von 
der kryptografisch vertrauenswurdigen Kontaktstelle an eine 
Zwischenstelle ubermittelt werden, dass die Zwischenstelle 
die verschlusselte Schliisselinf ormation und die verschlus- 
selte Pruf information zwischenspei chert und zu einem spateren 
Zeitpunkt zeitlich von der Ubertragung zwischen der kryp- 
tografisch vertrauenswurdigen Kontaktstelle und- der Zwischen- 
stelle entkoppelt an ein karyptograf isches Modul eines Doku- 
ment hers tellers ubermittelt - 

Die Erfindung sieht somit vor, dass das kryptograf ische Modul 
auch bei einer Speisung uber eine Zwischenstelle, beispiels- 
weise uber im kryptograf ischen Sinn nicht vertrauenswurdige 
Kommunikationspartner mit zwei Arten von Daten versorgt wird, 
die zum einen im kryptograf ischen Modul verbleiben und die 
zum anderen an das Dokument angehangt werden, wobei die im 
kryptograf ischen Modul verbleibenden Informationen genutzt 
werden, um die Dokument informationen uber einen Prufwert ab- 
zusichern und wobei die in das Dokument ubernommenen Informa- 
tionen dazu dienen, im Rahmen einer Prufimg der Unverf alscht- 
heit des Dokuments in einer Prufstelle die Absicherung des 
Dokument s durch das kryptograf ische Modul nachzuweisen. 

Die Erfindxang beinhaltet eine Vielzahl von Vorteilen. Sie er- 
moglicht eine Erzeugung f alschungssicherer Dokumente in einer 
Vielzahl von Anwendungs fallen, insbesondere bei solchen Fal- 
len, bei denen keine direkte Verbindxing zwischen dem Doku- 
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menthersteller und der vertrauenswurdigen Kontaktstelle be- 
steht. Beispielsweise ist es hierdurch moglich, f alschiingssi- 
chere Dokumente ohne einen Einsatz von Computem iind/oder 
eine Datenverbindung zu der vertrauenswurdigen Kontaktstelle 
zu erstellen. 

Grundsatzlich ist es moglich, die Schlussel information nach 
einem vorgegebenen Muster auszuwahlen. Dies erleichtert je- 
doch kryptograf ische Entschlusselungsattacken (Enigma -Prob- 
lem) . 

Es ist besonders vorteilhaft, dass die Schlussel information 
dadurch erstellt wird, dass sie zufallig gebildet wird, ob- 
wohl die Erf indung mit einem vorgebbaren Satz von Schlussel- 
informationen durchgefuhrt werden kann. Die jeweilige zufal- 
lige Erzeugung der Schlusselinf ormationen ist deshalb beson- 
ders vorteilhaft, da so eine Speicherung einer Vielzahl von 
Schlusselinf ormationen vermieden wird, 

Es hat sich als zweckmaiSig erwiesen, dass die verschlusselte 
Schlusselinformation und/oder die verschlusselte Prufinforma- 
tion so beschaffen sind, dass sie in der Zwischenstelle nicht 
ent schlussel t werden konnen, 

Eine Entschlusselung der Schlusselinf ormationen durch das 
kryptograf ische Modul beinhaltet mehrere Vorteile. Hierdurch 
ist es moglich, dass ein Benutzer des kryptograf ischen Mo- 
duls, insbesondere ein Dokumenthersteller , eine Bestatigung 
erhalt, Inf ormationen der vertrauenswurdigen Kontaktstelle, 
insbesondere von der vertrauenswurdigen Kontaktstelle ge- 
schaffene Geldwerteinf ormationen erhalten zu haben. AuSerdem 
ist es hierdurch moglich, dass das kryptograf ische Modul die 
enthaltene Schlusselinformation fur eine nachfolgende Ver- 
schlusselung einsetzt. 
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Ein bevorzugter Einsatz der Schlusselinf oxmationeri dient zu 
einer Verschlusselung von eigenen Daten des Dokumenthers tel- 
lers. 

ZwecktnaSigerweise ubergibt der Dokumenthersteller die eigenen 
Daten in einem moglichst automat isierten Verfahren dem kryp- 
tograf ischen Modul . 

Eine besonders bevorzugte Ausfuhrungsf orm der Erf indung 
zeichnet sich dadurch aus, dass das kryptograf ische Modul die 
vom Dokumenthersteller eingebrachten Daten mit d^r Schlussel- 
information irreversibel verkniipft. 

Hierbei ist es besonders vorteilhaft, dass die irreversible 
Verknupfung zwischen den von- dem Dokumenthersteller einge- 
brachten Daten und der entschlusselten Schlusselinf ormation 
dadurch erfolgt, dass.unter Verwendung der Schlusselinf orma- 
tion ein Prufwert fur das Dokument gebildet wird. 

Ferner ist es besonders zweckmaSig, dass das Ergebnis der ir- 
reversiblen Verknupfung der von dem Dokumenthersteller einge- 
brachten Daten mit der entschlusselten Schlusselinf ormation 
ein Dokument ixnd/oder einen Datensatz bilden, der an eine 
Prufstelle ubermittelt wird. 

Es hat sich waiter als zweckmafiig erwiesen, dass das an die 
Prufstelle ubermittelte Dokument die von dem Dokumentherstel- 
ler eingebrachten eigenen Daten wenigstens teilweise im Klar- 
text enthalt . 

Dazu ist es besonders zweckmaSig, dass in das an die Pruf- 
stelle ubermittelte Dokument die verschlusselte Prufinforma- 
tion eingebracht wird. 



Vorteilhaft ist, dass .die im kryptograf ischen Modul verblei- 
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benden informationen derart verschlusselt sind, dass diese im 
karyptograf ischen Modul entschlusselt warden konnen und dass 
es sich bei der im kryptograf ischen Modul verbleibenden In- 
formation urn einen Wert handelt, der nicht oder nur schwer 
5 vorhersagbar ist. 

Besonders vorteilhaft ist, dass die Versorgiing des kryptogra- 
f ischen Moduls liber kryptograf isch nicht vertrauenswurdige 
Kommunikationspartner derart erfolgt, dass ein Austausch von 
10 Informationen innerhalb eines Dialogs nicht erforderlich ist. 

Ebenfalls von besonderem Vorteil ist, dass die Versorgung des 
kryptograf ischen Moduls uber kryptograf isch nicht vertrauens- 
wurdige Kommunikationspartner derart erfolgt, dass die Wei- 
ls terreichung der Informationen an das kryptograf ische Modul 
zeitlich entkoppelt ist. 

Als wichtig und zweckmafiig hat sich ergeben, dass die Versor- 
gung des kryptograf ischen Moduls auch bei einer Speisung uber 
20 kryptograf isch nicht vertrauenswurdige Kommunikationspartner 
durch eine vertrauenswurdige Stelle erfolgt, auf deren Infor- 
mationen sich die Pruf stelle verlassen kann. 

Vorteilhaft ist dabei, dass zur Bereitstellung vertrauenswiir- 
25 diger Informationen fur das kryptograf ische Modul durch eine 
vertrauenswurdige Stelle kryptograf ische Verschliisselungen 
angewendet werden, die die Priif stelle ruckgangig machen kann. 

Eine zweckmafiige Weiterentwicklung des Verfahrens sieht vor, 
30 es so durchzufuhren, dass die beiden Arten von Daten kryp- 
tograf isch miteinander verkniipft sind, jedoch xiicht auf dem 
Wege der Kjryptoanalyse • auf gedeckt werden. 

Dazu hat sich als Vorteil gezeigt, dass die kryptograf ische 
35 Verknupfung der beiden Arten von Daten dergestalt ist, dass 
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nichtlineare Anteile, die nur der vertrauenswurdigen Kontakt- 
stelle'und der Prufstelle bekannt sind, hinzugefugt werden. 

Vorteilhafterweise wird das Verfahren so durchgefuhrt , . dass 
die erstellten f alschiingssicheren Dokumente oder Datensatze 
geldwerte Inf ormationen enthalten. 

Es ist zweckmaSig, dass die geldwerte Information kryptogra- 
f isch mit dem Dokument oder dem Datensatz derart verbunden 
ist, dass durch einen Vergleich zwischen der geldwerten In- 
formation imd dem Dokument oder den Datensatz ein Prufwert 
gebildet werden kann. 

Ferner ist es vorteilhaft, dass die geldwerten Inf ormationen 
einen Nachweis uber die Entrichtung von Portobetragen enthal- 
ten. 

Ein weiterer Vorteil ist darin gegeben, dass die eine Ent- 
richtung eines Portobetrages nachweisenden geldwerte Informa- 
tionen mit Identif ikationsangaben des Dokumentherstellers 
verknupft sind. 

Ferner ist es nutzlich, dass der Nachweis uber die Entrich- 
tung eines Portobeitrages mit einer Adressangabe verknupft 
ist . 

Ein sehr wichtiges Anwendungsgebiet der Erfindung ist die Er- 
zeugung von Freimachungsvermerken. In diesem wesentlichen An- 
wendungsfall konnen verschiedene Zwischenstellen eingesetzt 
werden. Beispielsweise kann ein Wertiibertragungszentrum eines 
Frankiermaschinenherstellers als Zwischenstelle genutzt wer- 
den. 

Ein weiterer Gegenstand der Erfindung ist ein Wertubertra- 
gungszentrum mit einer Schnittstelle zum Laden von Wertbetra- 
gen. In der entsprechenden Weiterentwickliing der Erfindung 
fungiert das Wertubertragungszentrum vorteilhafterweise als 
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eine Schnittstelle zum Empfang von verschlusselten Informati- 
onen einer kryptograf isch vertrauenswurdigen Kontaktstelle 
und zur Zwischenspeicheaning der empfangenen verschliisselten 
Inf ormat ionen . 

Es ist vorteilhaft, dass die Inf ormationen so verschlusselt 
sind, dass sie in dem Wert iibertragungszent rum nicht ent- 
schlusselt werden konnen. 

Ferner ist es vorteilhaft, dass es Mittel fur einen Empfang 
von Wertubertragungsauf forderungen durch wenigstens ein kryp- 
tografisches Modul und zur zeitlich entkoppelten Weitergabe 
der erhaltenen verschlusselten Inf ormationen enthalt. 

Besonders vorteilhaft ist ein kryptograf isches Modul zur Er- 
zeugung f alschungssicherer Dokumente mit Mitteln zur Ausgabe 
von verschlusselten Priif inf ormationen und eines Prufwerts, 

Eine vorteilhafte Ausfuhrungsf orm sieht vor, dass das kryp- 
tograf ische Modul wenigstens ein Mittel zum Empfang und zur 
Entschlusselung von Schlussel inf ormationen xxnd wenigstens ein 
Mittel zum Empfang eines Dokuments oder eines Datensatzes 
enthalt, und dass das kryptograf ische Modul uber wenigstens 
ein Mittel zur Erstellung eines Prufwerts fur das Dokument 
Oder den Datensatz verfugt. 

Weitere Vorzuge, Besonderheiten und zweckmalSige Weiterbildun- 
gen der Erf indung ergeben sich aus den Unteranspruchen und 
der nachfolgenden Darstellung bevorzugter Ausfuhrungsbei- 
spiele anhand der Zeichnungen, 

Von den Zeichnungen zeigt 

Fig. 1 das Grundprinzip eines bekannten krypto- 

graf ischen Verfahrens, 
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Fig. 2 eine Prinzipskizze fur eine Prinzipdarstellung 

einer erf indungsgemafien Erzeugxing digitaler 
Freitnachiingen und 

Fig. 3 eine Prinzipdarstellung besonders bevorzugter 

Verfahrensschritte fur die Erzeugimg 
f alschungssicherer Dokumente. 

Zur Losung dieses Problems ist aus der Deutschen Patent - 
schrift DE 100 20 563 C2 ein Verfahren zur Erstellung fal- 
schungssicherer Dokumente bekannt, bei dem die Notwendigkeit , 
Informationen aus dem kryptograf ischen Modul des Dokumenther- 
stellers zur Prufung zu verwenden, entfallt, Statt dessen ba- 
siert dieses Verfahren darauf , dass eine Zufallszahl im kryp- 
tograf ischen Modul des Kunden gebildet wird. Das genaue Ver- 
fahren mit seinen drei beteiligten Parteien (1. Dokumenther- 
steller mit kryptograf ischem Modul, 2. Prufstelle und 3. Ver- 
trauenswurdige Kontaktstelle) ist in der beigefiigten Fig. 1 
dargestellt. Die im nachf olgenden Text genannten Nummern be- 
ziehen sich auf die in der Fig. 1 dargestellten Schritte des 
Verf ahrens . 

In Fig. 1 wird im kryptograf ischen Modul des Dokumentherstel 
lers eine Zufallszahl erzeugt und gespeichert (1) , die zusam 
men mit der Identitat oder Identif ikationsnummer des Doku- 
mentherstel lers Oder des kryptograf ischen Moduls verschlus- 
selt (2) an eine vertrauenswurdige Stelle ubermittelt wird 
(3) . Diese vertrauenswurdige Stelle entschlusselt die Zu- 
fallszahl iind.die Identif ikationsnummer (4), liberpruft die 
RechtmaSigkeit der Anfrage (5) und verschlusselt daraufhin 
die Zufallszahl und einen neu gebildeten Transaktions-Indika 
tor in der Weise, dass nur die Prufstelle in der Lage ist, 
diese Verschlusselung ruckgangig zu machen (6) • Die derart 
verschlusselte Zufallszahl und der Transaktions-Indikator . 
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werden an den Dokumenthers teller zuruckgesandt (7) . Bei def 
spateren Erzeugung f alschungssicherer Dokumente gibt der Do- 
kumenthersteller niin das zu sichemde Dokument in das kryp- 
tografisch^ Modul ein (8) . Do'rt wird iinter Verwendvmg des Do- 
kument en- Klartextes und der noch immer gespeicherten Zufalls- 
zahl ein Priifwert gebildet (9) . Ubertragen zur Prufs telle 
wird nun das Dokument im Klartext, die von der vertrauenswur- 
digen Stelle ubertragene verschliisselte Zufallszahl und der 
verschlGsselte Transaktionsindikator sowie die im kryptogra- 
fischen Modul erzeugte Pruf information (10) . In der Pruf- 
stelle erfolgt die Feststellung der Unverf alschtheit nach 
einer Grobprufung der Dokument ens truktur (11) durch Ent- 
schlusselungder Zufallszahl und des Transaktions-Indikators , 
die in der vertrauenswurdigen Kontaktstelle verschlusselt 
worden waren (12) . AnschlielSend wird wie im kryptograf ischen 
Modul des Dokumentherstellers unter Verwendung des Dokumen- 
ten-Klartexts und. der soeben entschlusselten Zufallszahl ein 
Prufwert gebildet (13) . Dieser Prufwert wird schliefilich mit 
dem vom Dokumenthersteller libertragenen Prufwert verglichen 
(14) , Stimmen beide uberein, so ist sichergestellt , dass das 
Dokument unter Verwendung eines bestimmten kryptograf ischen 
Moduls erzeugt wurde, da die erf orderliche Zufallszahl nur 
dort vorhanden ist und dieses Modul kryptograf isch abgesi-r 
chert mit der vertrauenswurdigen Kontaktstelle Inf ormationen 
ausgetauscht hat. Da zum einen ein bestimmtes kryptograf i- 
sches Modul verwendet wurde und zum anderen der Prufwert 
ubereinstimmt , ist sowohl die Identitat des Dokumentherstel- 
lers als auch die Unverf alschtheit des Dokuments sicherge- 
stellt . 

Das beschriebene Verfahren wird in Abwandlung von der Deut- 
schen Post fur die Herstellung von Internet -Brief marken unter 
der Bezeichnung „PC-Frankierung'" eingesetzt. Es zeichnet sich 
zusammengef asst dadurch aus, dass die Priifung der Unver- 
falschtheit der Dokumente ohne Benutzung von Schlusselinf or- 
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mationen erfolgen kann, die'dem karyptograf ischen Modul eigen 
sind. Vielmehr verlasst sich die Prufstelle zum Tail auf In- 
formationen eiher vertrauenswurdigen Kontaktstelle. 

Erf indungsgemaS wird ein Verfahren zur Erzeugung digitaler 
Dokumente iind Datensatze geschaffen, das ohne einen direkten 
Kontakt zwischen einer kryptograf isch vertrauenswurdigen Kon- 
taktstelle und dem kryptograf ischen Modul, bezieh\ingsweise 
einem das kryptograf ische Modul einsetzenden Dokumenthers tel- 
ler erfolgen kann. 

.Obwohl die Erzeugung der Dokumente imd Datensatze keineswegs 
auf die Erzeugung von Freimachungsvermerken, bezieh\ingsweise 
auf mit Freimachungsvermerke versehene Eostsendungen be- 
schrankt ist, stellt der Einsatz der dargestellten Verfah- 
rens- und Vorrichtungsmerkmale in einem Verfahren zur Erzeu- 
gung digitaler Freimachungen eine besonders bevorzugte. Aus- 
fuhrungsform der Erfindung dar. 

Eine derartige Ausfuhrungsform wird nachfolgend anhahd'von" 
Fig. 2 dargestellt. 

Das schematische Modell beziehungsweise die Funktionsweise 
der neuen digit alen Freistempelung ist in FIG. 2 skizziert 
und nachfolgend beschrieben: 

1. Im Vorfeld des Ladevorgangs zwischen dem Vorgabezentrum 
des Anbieters und der Digitalen Freistempelmaschine des 
Kunden stellt das Postunternehmen dem Anbieter auf elekt- 
ronischem Wege maschinenbezogGne Infojrmatlonen zur zukunf- 
tigen Einspeisuhg in die Digitalen Freistempelmaschinen 
zur Verfugung- Diese Inf ormationen umfassen unter anderem 
eine Schlusselinf ormation zur Verwendung in der Maschine 
und einen sogenannten „ValidityString^\ der zur spateren 
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Priifung- im Brief zentrum verwendet wird sowie Inf ormationen 
zur Bonitat von Kunden. Teile dieser Inf ormationen sind 
derart verschlusselt , dass sie nur innerhalb der Freistem- 
peltnaschine entschliisselt werden konnen. 

Zwischen der Digitalen Freistempelmaschine des Kiinden wad 
dem Fernwahl-Vorgabezentrum des Herstellers wird ein Vor- 
gabe-Ladevorgang mit dem Ziel durchgef iihrt , den verfugba- 
ren Portowert in der Freistempelmaschine zu erhohen. Wah- 
rend dieses Ladevorgangs werden auch die (zuvor von der 
Deutschen Post bereitgestell'ten) maschinenbezogenen Infor- 
mationen in einen manipulationssicheren Bereich der Digi- 
talen Freistempelmaschine ubertragen. Ein derartiger Lade- 
vorgang, bei dem die (von dem Postuntemehmen bereitge- 
stellten) Inf ormationen in die Maschine iibertragen werden, 
sollte innerhalb bestiramter Toleranzen regelmaSig, bei- 
spielsweise einmal innerhalb eines vorgebbaren Zeitinter- 
valls, beispielsweise ihonatlich erfolgen. Falls keine neue 
Vorgaben geladen werden sollen, ist einmal monatlich ein 
entsprechender Koramunikationsvorgang zwischen der Frei- 
steir5)elmaschine tind dem Vorgabe zentrum durchzufuhren, bei 
dem ebenfalls die von dem Postuntemehmen bereitgestellten 
Inf ormationen in die Maschine iibertragen werden. Die Kom- 
munikation zwischen Vorgabezentrum und Digitaler Freistem- 
pelmaschine muss in angemessener und uberprufbarer Weise 
abgesichert sein. 

. Im Nachgang des Vorgabe -Ladevorgangs (Schritt 1.) findet 
zwischen dem Vorgabezentrum des Anbieters. und dem als ver- 
trauenswiirdige Kontaktstelle dienenden Postage-Point des 
Postunternehmens eine gesicherte, elektronische Kommunika- 
tion viber den Kauf einea beatiamten Portobetraga fur einen 
JCunden .statt . Bei dieser Datenubertragiing werden Abrech- 
n\angs- und Nut zungsinf ormationen an das Postuntemehmen 
ubertragen. Da die oben beschriebene Bereitstellung von 
Informationen fQr den nachsten Ladevorgang deutlich im 
voraus erfolgen kann, ist es moglich, aber nicht notwen- 
dig, die Schritte 3 und 1 zu kombinieren, sodass Schritt 3 
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- des soeben abgeschlossenen Ladevorgangs mit Schritt 1 fur 
den naclifolgenden Ladevorgang zusammentref fen. 

4. Den bei der vertrauenswurdigenKontakts telle, dem Postage- 
Point des Postunternehmens , gekauften Portobetrag stellt 
das Postvmtemehmen dem Kunden unmittelbar per Lastschrif t 
in Recbnung. 

5. Mit der geladenen Digitalen FreiBtempelmaschine konnen 
prinzipiell so lange giiltige diffltale Freiatempelabdrucke 
ausffedrucJfct werden, bis das Guthaben aufgebraucht ist. Die 
digitalen Freistempelabdrucke enthalten einen zweidimensi- 
onalen Matrixcode (2D-Barcode) , in dem zusatzliche Daten 
enthalten sind, die lanter anderem, wie in Schritt 1 be- 
schrieben, im Vorfeld von dem Post\xntemehmen zur VerfCi- 
gving gestellt wurden und die im Briefzentrum zur Prufxing 
der Guitigkeit herangezogen werden. 

6. Postsendiingen mit digitalem Freistempelabdruck kdnnen Ober 
die von dem Postiinternehmen bereitgestellten M6glichkei- 
ten-, z.B. Briefkasten, Postfiliale, eingeliefert werden. 

7. Sendiangen mit digitalem Freistempelabdruck werden von dem 
Postxantemehmen nach Oberprufung der Gtiltigkeit befordert. 

8. In einem Abgleich konnen geladene Portowerte des Kunden 
mit den im Briefzentrum gelesenen Portowerten verglichen 
werden . 

Bei den Informationen, die, wie im o.g. Schritt 1 beschrie- 
ben, vorab von der Deutschen Post zur Verfugung gestellt wer 
den, sind im Sinne der vorliegenden Erfindiing zwei Bestand- 
teile von Bedeutung, namlich zum einen eine Schlusselinf orma 
tion mkey zur Verwendung in der Maschine und zum anderen feine 
sogenannte Pruf information VS. Die Schlusselinf drmation mkey 
wird vom Postage Point des Postuntemehmens, der als vertrau 
enswurdige Kommunikationsstelle dient, derart verschlusselt, 
dass eine Entschliisselijng nur im manipulationssicheren Be- 
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reich der Digitalen Freistempeltnaschine (kryptograf isches Mo- 
dul) mdglich ist. Die in sich bereits verschlusselte Pariif in- 
formation VS kann ohne weitere Transportverschliisselung an 
die Freistetnpelmaschine bzw. das kryptograf ische Modul uber- 
tragen werden. Durch die Verschlusseliang der Schixisselinfor- 
mation nikey ist eine Entschlusselung nur im kryptograf ischen 
Modul der Freisterapelmaschine moglich, nicht jedoch auf dem 
nicht vertrauenswurdigen Konunxinikationsweg . 

Das Prinzip der Sicherheit der Erstelliang faischxangssicherer 
Dokumente mit einem extern auf unsicherem Weg gespeisten 
kryptografischen Modul wird in der FIG. 3 schematisch darge- 
stellt : 



1. In einem ersten Schritt wird in einer vertrauenswurdigen 
Kontaktstelle, die in der praktischen Realisierung dem 
Postage Point des Postunternehmens entspricht, eine 
Schlusselinformation gebildet . Diese Schliissel information 
dient spater dazu, im kryptografischen Modul zur Erst el - 

. lung eines Prufwerts herangezogen zu werden. Sinnvoller- 
weise verbleibt diese Schliissel information spater im kryp- 
tografischen Modul land wird dieses nicht verlassen. 

2. In einem zweiten Schritt wird eine sogenannte Pruf informa- 
tion gebildet. Diese wird zusammengestellt aus der Schlus- 
selinformation aus Schritt 1, einem Transaktions-Indika- 
tor, der Zusatzinf ormationen zum nachsten Ladevorgang des 
Kunden enthalt, sowie aus weiteren I nf ormationen. Die Zu- 
sammenstellung und anschlielSende Verschlusselung dieser 
Elemente der Pruf information geschieht in einer Weise, 
dass nur die Prufstelle spater in der Lage ist,. diese Ver- 
schlusselung wieder ruckgangig zu machen. Die Zusammen- .. 
stellung vmd anschlieSende Verschlussel\ing dieser Elemente 
der Pruf information geschieht auSerdem in einer Weise, 
dass auch mit Kenntnis der Schlxisselinf ormationen im Klar- 
text, was jedoch theoretisch auSerhalb der vertrauenswiir- 
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digen Kontaktstelle iind auSerhalb des kryptograf ischen Mo- 
dule kaum moglich ist, eine Aufdeckung des Schlussels zur 
Verschliisselung der Pruf inf ormationen zur anschlieSenden 
Entschliisselung an der Prufstelle vermieden wird. 

3. In einem dritten Schritt werden die itn ersten Schritt er- 
zeugten Schlusselinf ormationen derart verschlusselt , dass 
eine Entschlusselung nur im kryptograf ischen Modul beim 
Dokumenthersteller erfolgen kann, nicht jedoch auf dem 
Ubertragungsweg dorthin. 

4 . In einem vierten Schritt werden nun, vorzugsweise zusammen 
mit anderen, die Manipulationssicherheit weiter erhohenden 
Inf ormationen zum anstehenden Ladevorgang des Kunden, die 
zwei Arten von Inf ormationen ubergeben. Zum einen handelt 
es sich dabei urn die in Schritt 1 erstellte und in Schritt 
3 verschlusselte Schlusselinf ormation, die spater in das 
kryptografische Modul geladen, dort entschlusselt wird und 
dort auch zur Erstellung f alschungssicherer Dokumente ver- 
bleibt. Zum anderen handelt es sich dabei urn die in 
Schritt 2 gebildete verschlusselte Priif inf ormation, die 
nur von der Prufstelle wieder entschlusselt werden kann 
und die an jedes vom Dokumenthersteller spater erzeugte 
Dokument angehangt wird. 

5. In einem funften Schritt werden die zwei Arten von 
Inf ormationen, die im Rahmen dieser Erfindiing relevant 
sind, zusammen mit anderen Inf ormationen zum anstehenden 
Ladevorgang des Kunden in der nicht vertrauenswurdigen 
Stelle zwischengespeichert . Eine Entschlusselxing der bei- 
den relevanten Arten von Inf ormationen ist an dieser 
Stelle nicht moglich. Insbesondere ist eine Aufdeckung des 
Schlussels, der in der vertrauenswurdigen Stelle verwendet 
wurde, um die. Pruf inf ormationen derart zu verschlusseln, 
dass nur die Prufstelle diese wieder entschlusseln kann, 
schon deshalb nicht moglich, weil der Klartext der Schlus- 
selinf ormation, der fur eine solche sogenannte Klartextat- 
tacke notwendig ware, nicht vorliegt. 
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6. In einem sechsten Schritt werden die von der 
vertrauenswurdigen Stelle zur Verfugimg gestellten Infor- 
mationen zeitlich entkoppelt, z.B. im Rahmen des n^chsten 
Ladevorgangs, an das kryptograf ische Modul beim Dokument- 
hersteller iibergeben. 

7. Der siebte Schritt weist auf die Kotnmunikation zwischen 
nicht vertrauenswurdiger Stelle und kryptograf ischem Modul 
bin, die vorzugsweise durch zusatzliche geeignete Mittel 
kryptograf isch abgesichert ist. Immerhin handelt es sich 
in der praktischen Realisierung urn die Kotnmunikation zwi- 
schen einem Vorgabezentrum eines Herstellers und dessen 
Freistempelmaschine mit kryptograf ischem Modul, die schon 
wegen des elektronisch ausgetauschten Ladebetrags gegen 
Manipulationen geschiitzt werden muss. Ware diese Kommuni- 
kation nicht geschutzt, so ware eiije unberechtigte Erho- 
hung des Ladebetrags moglich. Nur im Sinne dieser Erfin- 
dving gilt daher das Vorgabezentrum des Herstellers als 
„nicht vertxauenswurdige« Stelle, in der praktischen Rea- 
lisierung ist das Vorgabezentrum durchaus als vertrauens- 
wiirdig einzustufen. 

8. Im achten Schritt findet eine Entschlusselung imd an- 
schlieSende Speicherung . der Schliisselinf ormation statt, 
die in Schritt 3 verschlusselt wurde. Diese Schlusselin- 
f ormation wird spater benutzt, urn Dokumente durch Erstel- 
Iting eines Prufwerts abzusichern. Zur Vermeidung von oben 
bereits erwahnten Klartext-Attacken ist es wichtig, dass 
die Schlusselinformation nicht aus dem kryptograf ischen 
Modul ausgelesen werden kann, sondem nur innerhalb des 
Moduls durch ebenfalls beinhaltete Prozesse yerwendet 
wird. 

9. In einem neunten Schritt wird die verschlusselte 
Prufinformationaus Schritt 2 gespeichert. Da diese Infor 
mation bereits verschlusselt ist und nicht weiter im kryp 
tografischen Modul zur Datenverarbeitung benotigt wird, 
ist ihre Speicherung aufierhalb des kryptograf ischen Modul 
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moglich. Die verschlusselte Pruf information wird spater an 
jedes gesicherte Dokument angehangt, urn in der Prufstelle 
verwendet zu werden. 

10. In einem zehnten, vorzugsweise zeitlich entkoppelten 
Schritt gibt der Kvinde bzw. Dokumenthersteller die Inhalte 
des zu sichernden Dokuments in das kryptograf ische Modul 
ein. 

11. In einem elf ten Schritt wird tnit den eingegebenen 
Klartextinformationen des Dokuments unter Verwendung der 
noch gespeicherten Schliissel information aus Schritt 1 ein 
Priifwert gebildet. Die Bildung des Prufwerts findet durch 
Anwendung eines ublichen Prufwert-Verf ahrens statt, wie 
z.B. MAC, HMAC symmetrische Signatur o.a. . Mehreren beson- 
ders bevorzugten Ausfuhrxmgsformen ist gemein, dass der 
Klartext des Dokuments in der Regel irreversibel verkfirzt 
und gleichzeitig oder anschlieSend mit einem Schlussel, in 
diesem Falle der Schlusselinf ormation aus Schritt 1, ver- 
schlusselt wird. 

12. In einem zwolften Schritt wird n\an das Dokument ubertra- 
gen. Das Gesamtdokument besteht dabei vorzugsweise aus 
mehreren, insbesondere drei Bestandteilen. Ein erster Be- 
standteil ist die eigentliche Klartextinf ormation des Do- 
kuments . 

Als zweiter Bestandteil des Gesamtdokuments sind an den 
Dokumententext die verschlusselten Pruf informationen aus 
Schritt 2 angehangt, die in Schritt 9 im kryptograf ischen 
Modul Oder aufierhalb des Moduls gespeichert wurden vind 
fortan jedem zu sichernden Dokument beigefugt werden. 
Als dritter Bestandteil des Gesamtdokuments ist der in 
Schritt 11 gebildete Prufwert angehangt. 

. 13. Im drei zehnten Schritt erreicht das Dokument die Pruf- • 
stelle, wo es auf strukturelle Vollstandigkeit und Unver- 
sehrtheit gepruft wird. In der konkreten Anwendung der Er- 
findiang zur Priifimg von Freimachungsvermerken konnen an 
dieser Stelle auch weitere Schliissigkeitsprufxingen statt- 
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finden. Da in diesem Falle das gesicherte Dokument dem ma- 
schinenlesbaren Frankiervermerk entspricht, kann dieser 
gegen andere. Sendxangsinformationen wie Jtoschrif t und Sen- . 
dungsart sowie allgemeine Informationen wie das Datum ge- 
pruft werden. Hierdurch kann ausgeschlossen werden, dass 
ein in sich gultiger Frankiervermerk zur Freimachiang einer 
nicht zu diesem Frankiervermerk passenden Sendtong verwen- 
det wird. 

14. Im vierzehnten Schritt wird die in Schritt 2 verschlus- 
selte Priif information wieder entschlusselt . Die aus mehre- 
ren Komponenten zusammengesetzte Priif information wird wie- 
der in ihre Bestandteile zerlegt. Neben anderen Informati- 
onen werden dabei insbesondere die Schliisselinformation 
iind der Transakt ions -Indika tor gewonnen. Letzterer kann 
einer zusatzlichen PrOfimg dienen. So kann beispielsweise 
die ira Transakt ions -Indikator hinterlegte Identitat des 
Kunden bzw. Dokumentherstellers mit einer in der Priif - 
stelle hinterlegten Positivliste erwiinschter Dokumenther- 
steller oder einer Negativliste unerwunschter Dokumenther- 
steller verglichen werden. 

15. In einem fiinfzehnten Schritt wird in Analogie zu Schritt 
11 ein Prufwert erstellt. Nach dem gleichen Verfahren wie 
bei schritt 11 werden nun die in der Pruf stelle vorliegen- 
den Klartextinformationen des Dokuments unter Verwendung 
der soeben entschlusselten Schlusselinf ormation aus 
Schritt 14 ein Prufwert gebildet . Konnen verschiedene Ver- 
fahren zur Erstellung von Priifwerten im kryptograf ischen 
Modul moglich sein, so muss die konkrete Wahl des Verfah- 
rens ebenfalls angehangt an das Dokument oder im Dokument 
vom Dokumenthersteller an die Priif stelle iibertragen wer- 
den. 

iS^Im abschlieEenden Schritt sechzehn wird der im. 

Icryptograf ischen Modul erstellte lond an das Dokument ange 
hangte Priifwert mit dem in der Prvifstelle erstellten Priif 
wert verglichen. Nur wenn beide Priif werte iibereinstimmen. 
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ist gewahrleistet, dass das Dokument unter Verwendiing . des 
kryptdgrafischen Moduls beim Dokumenthers tellers erstellt 
wurde . 

Bin in missbrauchlicher Absicht agierender Dokumenther- 
steller, der eih gesichertes Dokument eines Kunden vortau- 
schen will, jedoch nicht Zugriff auf dessen kryptografi- 
sches Modul hat, wird nicht in der Lage sein, die Schlus- 
selihfortnation aus Schritt 1 zu erhalten \md zu entschlxis- 
seln. Diese ist jedoch unabdingbar, urn einen Prfifwert her- 
zustellen, der mit dem in der Prilfstelle hergestellten 
ubereinstiramt . Erfindet ein in missbrauchlicher J^Dsicht 
agierender Dokumenthersteller hingegen eine geeignete 
Schlusselinfo'rmation, die er auch sinngemaS korrekt zur 
Bildung eines Priifwerts anwenden kann, so gelingt es ihm 
nicht, eine hierzu passende verschlusselte Priif information 
her-zustell en. Diese verschlusselte Pruf information miisste 
derart verschlusselt sein, dass nur die Prufstelle in der 
Lage ist, eine Entschlusselung vorziinehmen. Ohne Kenntnis 
der verwendeten Schlussel ist dies nicht moglich. Folglich 
ist das System sicher \ind nicht uberwindbar. 

Durch die Erfindiing ist es moglich, f alschungssichere Doku- 
mente zu erzeugen land die Unverfalschtheit der in dem Doku- 
ment enthaltenen Daten und/oder die IdentitSt des Dokument - 
herstellers zuverlassig zu pruf en. 

Alle hierzu erf orderlichen Pruf inf ormationen werden vorzugs- 
weise durch die vertrauenswurdige Kontaktstelle und/oder das 
kryptograf ische Modul zur Verfiigung gestellt. 

Die Erfindiing eignet sich fur eine Erzeugung beliebiger Doku- 
mente. Es =ist jedoch besonders vorteilhaft, die Erfindung fur 
eine Erzeugiing digitaler Dokumente einer verhaltnismaSig ge- 
ringen Datenmenge in der GroSenordnung von wenigen Bit bis zu 
Dokumenten mit einer GesamtgroSe einschlieSlich Prufinforma- 
tionen bis etwa 60 byte einzusetzen. 
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Besonders bevorzugte Dokumente im Sinne der Erfindung sind 
Giiltigkeitsvermerke fur eine Vielzahl von Anwendungsgebieten . 
Es ist besonders vorteilhaft, die Erfindung fiir eine Uberpru- 
fung digitaler Freimach\ingsvermerke fur Postsendungen einzu- 
setzen, da sie eine besonders schnelle und einfache Erzeugung 
der Freimachungsvermerke ermoglicht. Bin Einsatz fiir andere 
Gebiete als Nachweis fur die Entrichtung von Geldbetragen - 
digitale Werttnarken -, beziehiingsweise als sonstiger Trager 
einer Geldwertinf ortnation ist gleichfalls m6glich. 



Die Erfindiang signet sich insbesondere fiir alle Anwendungs- 
falle, bei denen auSer dem Dokumentersteller wenigstens eine 
Prufinstanz ein Interesse an der Unverf alschtheit des Doku- 
Trieiits- haben. Die Erfindung eignet sich hierdurch fur weite 
Anwendungsbereiche, insbesondere fur die Erstelliing von digi- 
talen Werttnarken fiir eine Vielzahl von Einsatzgebieten, bei- 
spielsweise als Flugtickets, Fahrkarten, Theater- oder Kino- 
karten. Derartige Dokumente konnen mit Hilfe der Erfindiing 
von dem Dokumenthersteller selber ausgedruckt werden, wobei 
es moglich ist, dass der Dokumenthersteller hierzu vorhandene 
Guthaben - oder Kreditbetrage - ausnutzt und auf diese Weise 
einen zuverlassigen Beweis der Zahlung erhalt . 

Das Erzeugen dlieser Dokumente kann beispielsweise iiber einen 
herkommlichen Personalcomputer oder einen kryptograf isch 

25 nicht gesicherten Drucker erfolgen. Ein besonderer Vorteil 
der Erfindung ist, dass die Erstellung der Dokumente ohne 
eine Verbindung zwischen der Erzeugung der Dokumente ohne di- 
rekte Verbindung zwischen dem Dokumenthersteller und der ver- 
trauensvmrdigen Kontaktstelle erfolgen kann. Die Dokuraenther- 

30 stellung ist hierdurch auch bei Zwischenschaltung ..einer oder 
mehrerer Zwischenstellen, beziehungsweise bei einer Kommuni- 
kation uber kryptograf isch nicht oder nur schwer sicherbare 
Datenwege moglich. 
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Die kryptograf isch vertrauenswurdige Kpntaktstelle iind/oder 
die Prufstelle erhalten Mittel um sicherzustellen, dass keine 
unberechtigten Dokumente erzeugt wurden, beziehungsweise dass 
keine Dokumente verfalscht wurderi. Hierdurch ist es auf eine 
besonders einfache und zuveriassige Weise moglich, priifbar 
sichere digitale Dokumente zu erzeugen und diese Dokumente 
zuverlassig zu uberprufen. 

Eine derartige Prufung kann auf verschiedene Weisen erfolgen, 
wobei die genannten kryptograf ischen Verf ahrensschritte ein- 
fach und zuverlassig angewendet warden konnen. Hierdurch ist 
ein Einsatz def Erfindung aufierhalb der besonders bevorzugten 
Uberpruftang der Echtheit digitaler Freimachungen von Postsen- 
dungen, beispielsweise durch eine Uberprufung der Echtheit 
der digitalen Fahrkarten, Flugtickets ect. durch einen Kon- 
trolleur, beziehiingsweise bei einer Einlasskontrolle, mog- 
lich - 

Die dargestellten erf indungsgemaiSen Mittel und Verfahrens- 
schritte konnen auch auf Dokumente angewendet werden, die vor 
Oder wahrend der Erstellung der Falschungssicherheit im Sinne 
dieser Erfindung ebenfalls verschlusselt werden. In diesem 
Fall wird das Verfahren vorzugsweise nicht auf einen unver- 
-schlCisselten Klartext, sondern einen verschlusselten Text an- 
gewandt, wobei sich jedoch die Verfahren dieser Erfindung 
nicht unterscheiden. Je nach Ausprag\ingsf orm ware es gleich- 
falls moglich, dass die Verschlusselung ebenfalls im kryp- 
tograf ischen Modul erfolgt und somit nach Darstellung in Fig. 
3 ein Zwischenschritt der Verschlusselung zwischen den hier 
geschilderten Schritten zehn und elf -erfolgen wiirde. 
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Patentanspruche : 

1. Verfahren zur Erstellung f alschungssicherer Dokumente 

Oder Datensatze, wobei eine Schlussel information- erzeugt 
wird iind wobei eine verschliisselte Pruf information aus 
der Schlusselinformation und einem Transaktionsindikator 
gebildet wird, d a d u r c h 

gekennzeichnet, dass die Erstellxing der zu- 
falligen Schlusselinformation und die Bildung der ver- 
schlusselten Pruf information aus der Schlusselinformation 
und dem Transaktionsindikator in einer kryptograf isch 
vertrauenswurdigen Kontaktstelle erfolgen, dass die kryp- 
tograf isch vertrauenswurdige Kontaktstelle die Schlussel- 
information verschlusselt, und dass die verschliisselte 
Pruf information \md die verschliisselte Schlusselinforma- 
tion von der kryptograf isch vertrauenswurdigen Kontakt- 
stelle an eine Zwischenstelle ubermittelt werden, dass 
die Zwischenstelle die verschliisselte Schlusselinforma- 
tion und die ver schlussel te Pruf information zwischenspei- 
chert und zu einem spateren Zeitpunkt zeitlich von der 
Ubertragung zwischen der kryptograf isch vertrauenswurdi- 
gen Kontaktstelle und der Zwischenstelle entkoppelt an 
ein kryptograf isches Modul eines Dokument hers tellers 
ubermittelt. 

2 . Verfahren nach Anspruch 1, dadurch 
gekennzei chnet, dass die Schlusselinforma- 
tion so erstellt wird, dass die Schlusselinformation zu- 
fallig gebildet wird. 

3 . Verfahren nach einem oder mehreren der vorangegangenen 
Anspruche, dadurch gekennzeichnet, 
dass die verschlusselte Schlusselinformation und/oder die 
verschlusselte Pruf information so beschaffen sind, dass 
sie in der Zwischenstelle nicht entschliisselt werden kon- 
nen. 
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4. Verfahren nach einem oder mehreren der vorangegangenen 
Anspriiche, dadurch gekennzeichnet, 
dass das kryptograf ische Modul vorzugsweise mit einem in 
dem kryptograf ischen Modul enthaltenen Schlussel eine 
Entschiasselung der Schlusselinformation vominunt. 

5. Verfahren nach einem oder mehreren der vorangegangenen 
Anspruche, dadurch gekennzeichnet, 
dass der Dokumenthers teller eigene Daten dem kryptograf i- 
schen Modul ubergibt. 

6. Verfahren nach einem oder mehreren der vorangegangenen 
Anspruche, dadurch gekennzeichnet, 
dass das kryptograf ische Modul die vom Dokumenthersteller 
eingebrachten Daten mit der Schlussel infonnat ion irrever- 
sibel verkniipf t ■. 

7. Verfahren nach Anspruch 6, dadurch 
gekennzeichnet, dass die irreversible Ver- 
kniipfiang zwischen den von dem Dokumenthersteller einge- 
brachten Daten und der entschlxisselten Schlusselinforma- 
tion dadurch erfolgt, dass iinter Verwendung der Schlus- 
selinformation ein Prufwert fiir das Dokument gebildet 
wird . 

8. Verfahren nach einem oder beiden der Anspruche 6 oder 7, 
dadurch gekennzeichnet, dass das Er- 
gebnis der irreversiblen VerknGpfung der von dem Doku- 
menthersteller eingebrachten Daten mit der ent schlussel - 
ten Schlusselinformation ein Dokument und/oder einen Da- 
tensatz bilden, der an eine Prufstelle ubermittelt wird. 

9. Verfahren nach Anspruch 8, dadurch 

g e k e n n z e i c h n e t, dass das an die Prufstelle 
ubermittelte Dokument die von dem Dokumenthersteller ein- 
gebrachten eigenen Daten wenigstens teilweise im Klartext 
ent halt . 
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IQ. Verfahren nach einem oder beiden der Anspruche 8 oder 9, 
dadurch gekennzeichnet, dass in das 
- an die Pruf stelle ubermittelte Dokument die verschlus- 
selte Pruf information eingebracht wird- 

11 . Verfahren. nach einem oder mehreren der vorangegangenen 
Anspruche, dadurch gekennzeichnet, 
dass in dem kryptograf ischen Modul Inf ormationen verblei- 
ben, die derart verschlusselt sind, dass sie im kryp- 
tograf ischen Modul entschlusselt werden konnen. 

12 . Verfahren nach einem oder mehreren der vorangegangenen 
Anspruche, dadurch gekennzeichnet, 
dass die Versorgung des kryptograf ischen Moduls mit den 
Inf ormationen auch bei einer Speisung liber im kryptogra- 
f ischen Sinne nicht vertrauenswurdige Kommunikationspart- 
ner durch eine kryptograf is ch vertrauenswurdige Stelle 
erfolgt, auf deren Information sich die Pruf stelle ver- 
lassen kann. 

13 . Verfahren nachi Anspruch 12, dadurch 

gekennzeichnet, dass zur Bereitstellung ver- 
trauenswurdiger Inf ormationen fur das kryptograf ische Mo- 
dul durch eine vertrauenswurdige Stelle kryptograf ische 
Verschlusselungen angewendet werden, die die Prufstelle 
ruckgangig machen kann. 

14. Verfahren nach einem oder mehreren der Anspraiche . . bis 

13, dadurch gekennzeichnet, dass die 
Versorgung des kryptograf ischen Moduls uber kryptogra- 

f isch nicht vertrauenswurdige Kommunikationspartner der- 
art- erf olgt, dass die Weiterreichung der Inf ormationen an 
das kryptograf ische Modul zeitlich entkoppelt ist. 

15. Verfahren nach einem oder mehreren der Anspruche 1 bis 

14, dadurch gekennzeichnet, dass die 
Versorgung des kryptograf ischen Moduls uber kryptogra- 
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fisch nicht vertrauenswiirdige Kommunikationspartner der- 
art erfoigt, dass eiri Austausch von Inf ormationen inner- 
halb eines Dialogs nicht erforderlich ist. 

16. Verfahren nach einem oder tnehreren der Anspruche 1 bis 
14, dadurch gekennzeichnet, dass die 
beiden Arten von Daten kryptograf isch miteinander ver- 
kniipft sind, jedoch nicht auf dem Wege der Kryptoanalyse 
aufgedeckt werden. 

17. Verfahren nach Anspruch 16, dadurch 
gekennzeichnet, dass die kryptograf ische 
Verknupfxing der beiden Arten von Daten dergestalt ist, 
dass nicht lineare Anteile, die nur der vertrauenswurdi- 
gen Kontaktstelle xind der Priifstelle bekannt sind, hinzu- 
gefugt werden. 

18. Verfahren nach einem oder mehreren der vorangegangenen 
Anspiiiche, dadurch gekennzeichnet, 
dass die erstellten f alschungssicheren Dokumente oder Da- 
tensatze Geldwerteinf ormationen enthalten. 

19. Verfahren nach 18, dadurch 

■ gekennzeichnet, dass die Geldwerteinf orma- 
tion kryptograf isch mit dem Dokument oder dem Datensatz 
derart verbunden ist, dass durch einen Vergleich zwischen 
den Geldwerteinf ormationen und dem Dokument oder den Da- 
tensatz ein Prufwert gebildet werden kann. 

20. Verfahren nach einem oder beiden der Anspruche 18 oder 
19, dadurch gekennzeichnet, dass die 
Geldwerteinformationen einen Nachweis uber die Entrich- 
tung von Portobetragen enthalten. 

21. Verfahren nach Anspruch 20, dadurch 
gekennzeichnet, dass die den Entrichtung des 
Portobetrages nachweisenden geldwerter Inf ormationen mit 
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Identifikationsangaben des Dokumentherstellers verknupft 
Bind. 

22. Verfahren nach einem oder beiden der Anspriiche 2 0 oder 
21, dadurch gekennzeichnet, dass die 
geltwerten Informationen mit einer Adressangabe verknupft 
werden . 

23. Wertubertragungszentrum mit einer Schnittstelle zum Laden 
von Wertbetragen, dadurch 

gekennzeichnet, dass das Wertiibertragungs- 
zentrum eine Schnittstelle zum Empfang von verschliissel- 
ten Informationen einer kiryptograf isch vertrauenswiirdigen 
Kontaktstelle und zur Zwischenspeicherung der etr^jf angenen 
verschlusselten Informationen enthalt. 

24. Wertubertragungszentrum nach Anspruch 23, dadurch 
gekennzeichnet , dass die Informationen so 
verschliisselt sind, dass sie in dem Wertubertragungszent- 
rum nicht entschlusselt werden konnen. 

25. Wertiibetragungszentrum nach einem oder mehreren der 
Anspruche 23 bis 24 , dadurch 

gekennzeichnet, dass es Mittel f<ir einen 
Empfang von Wert^jertragungsauf forderungen durch we- 
nigstens ein kryptograf isches Modul und zur zeitlich ent- 
koppelten Weitergabe der erhaltenen verschliisselten In- 
formationen enthalt. 

26. Kryptograf isches Modul zur Erzeugimg f alschungssicherer 
Dokumtente mit Mitteln zur Ausgabe von verschlusselten 
PrCif informationen und eines Prufwerts, dadurch 
gekennzeichnet, dass das kryptograf ische Mo- 
dul wenigstens ein Mittel zum Empfang und zur Entschliis- 
selung von Schlussel informationen und wenigstens ein Mit- 
tel zum Enpfang eines Dokuments oder eines Datensatzes 
enthalt, \and dass das Icryptograf ische Modul wenigstens 
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ein Mittel zur Erstellung eines Priifwerts fur das Doku- 
tnent oder den Datensatz unter Ve3rwendung der Schliisselin- 
formation enthalt. 



